Oracle Cloud Infrastructure - Dokumentation

Palo Alto

Dieses Thema enthält Informationen zur Konfiguration eines Palo Alto-Geräts. Die Konfiguration wurde mit PAN-OS Version 8.0.0. validiert.

Palo Alto-Grundkenntnisse sind erforderlich.

Wichtig

Oracle stellt Konfigurationsanweisungen für eine getestete Gruppe von Herstellern und Geräten bereit. Verwenden Sie die richtige Konfiguration für Ihren Hersteller und Ihre Softwareversion.

Wenn das Gerät oder die Softwareversion, die Oracle zur Überprüfung der Konfiguration verwendet hat, nicht genau mit Ihrem Gerät oder Ihrer Software übereinstimmt, können Sie die erforderliche Konfiguration auf Ihrem Gerät möglicherweise noch erstellen. Ziehen Sie die Dokumentation Ihres Herstellers zu Rate, und nehmen Sie die erforderlichen Anpassungen vor.

Wenn Ihr Gerät für einen Hersteller ausgelegt ist, der nicht in der Liste der verifizierten Hersteller und Geräte enthalten ist, oder wenn Sie bereits mit der Konfiguration Ihres Geräts für IPSec vertraut sind, finden Sie weitere Informationen in der Liste der unterstützten IPSec-Parameter und in der Dokumentation Ihres Herstellers.

Oracle Cloud Infrastructure bietet Site-to-Site-VPN, eine sichere IPsec-Verbindung zwischen Ihrem On-Premise-Netzwerk und einem virtuellen Cloud-Netzwerk (VCN).

Das folgende Diagramm zeigt eine IPSec-Basisverbindung mit Oracle Cloud Infrastructure mit redundanten Tunneln. Die in diesem Diagramm verwendeten IP-Adressen dienen lediglich als Beispiele.

In dieser Abbildung wird das allgemeine Layout Ihres On-Premise-Netzwerks, der VPN Connect-IPsec-Tunnel und des VCN zusammengefasst.

Best Practices

In diesem Abschnitt werden allgemeine Best Practices und Überlegungen zur Verwendung von Site-to-Site-VPN beschrieben.

Alle Tunnel für jede IPSec-Verbindung konfigurieren

Oracle stellt zwei IPSec-Headends für jede Verbindung bereit, um High Availability für Ihre geschäftskritischen Workloads bereitzustellen. Auf der Oracle-Seite befinden sich diese beiden Headends zu Redundanzzwecken auf verschiedenen Routern. Oracle empfiehlt die Konfiguration aller verfügbaren Tunnel für maximale Redundanz. Dies ist ein wichtiger Teil der "Design for Failure"-Philosophie.

Redundante CPEs an Ihren On-Premise-Netzwerkspeicherorten

Jede Ihrer Sites, die über IPSec mit Oracle Cloud Infrastructure verbunden ist, muss redundante Edge-Geräte (auch als Customer Premises Equipment (CPE) bezeichnet) haben. Fügen Sie jedes CPE der Oracle-Konsole hinzu, und erstellen Sie eine separate IPSec-Verbindung zwischen dem dynamischen Routinggateway (DRG)  und den CPEs. Für jede IPSec-Verbindung stellt Oracle durch Provisioning zwei Tunnel auf geografisch redundanten IPSec-Headends bereit. Weitere Informationen finden Sie im Connectivity Redundancy Guide (PDF).

Hinweise zum Routingprotokoll

Wenn Sie eine IPsec-Verbindung für Site-to-Site-VPN erstellen, verfügt diese über zwei redundante IPsec-Tunnel. Oracle empfiehlt, dass Sie das CPE so konfigurieren, dass beide Tunnel verwendet werden (wenn dies vom CPE unterstützt wird). In der Vergangenheit hat Oracle IPsec-Verbindungen erstellt, die bis zu vier IPsec-Tunnel enthielten.

Die folgenden drei Routingtypen sind verfügbar. Wählen Sie den Routingtyp separat für jeden Tunnel im Site-to-Site-VPN aus:

  • Dynamisches BGP-Routing: Die verfügbaren Routen werden dynamisch über BGP erlernt. Vom DRG werden die Routen aus Ihrem On-Premise-Netzwerk dynamisch erlernt. Auf der Oracle-Seite werden vom DRG die VCN-Subnetze veröffentlicht.
  • Statisches Routing: Wenn Sie die IPSec-Verbindung zum DRG einrichten, geben Sie die spezifischen Routen zu Ihrem On-Premise-Netzwerk an, über die das VCN informiert sein soll. Außerdem müssen Sie das CPE-Gerät mit statischen Routen zu den Subnetzen des VCN konfigurieren. Diese Routen werden nicht dynamisch erlernt.
  • Policybasiertes Routing: Wenn Sie die IPsec-Verbindung zum DRG einrichten, geben Sie die spezifischen Routen zu Ihrem On-Premise-Netzwerk an, über die das VCN informiert sein soll. Außerdem müssen Sie das CPE-Gerät mit statischen Routen zu den Subnetzen des VCN konfigurieren. Diese Routen werden nicht dynamisch erlernt.

Weitere Informationen über das Routing mit Site-to-Site-VPN, einschließlich Oracle-Empfehlungen zur Änderung des BGP-Algorithmus für die beste Pfadauswahl, finden Sie unter Routing für Site-to-Site-VPN.

Weitere wichtige CPE-Konfigurationen

Stellen Sie sicher, dass die Zugriffslisten in Ihrem CPE korrekt konfiguriert sind, damit der erforderliche Traffic von oder zu Oracle Cloud Infrastructure nicht blockiert wird.

Wenn mehrere Tunnel gleichzeitig hochgefahren sind, kann es zu asymmetrischem Routing kommen. Um asymmetrisches Routing zu ermöglichen, stellen Sie sicher, dass das CPE so konfiguriert ist, dass Traffic von Ihrem VCN in einem der Tunnel verarbeitet wird. Beispiel: Sie müssen die ICMP-Prüfung deaktivieren und die TCP-Statusumgehung konfigurieren. Für weitere Einzelheiten zur entsprechenden Konfiguration wenden Sie sich an den Support des CPE-Herstellers. Informationen zum Konfigurieren des symmetrischen Routings finden Sie unter Routing für Site-to-Site-VPN.

Hinweise und Einschränkungen

In diesem Abschnitt werden die allgemeinen wichtigen Merkmale und Einschränkungen von Site-to-Site-VPN beschrieben. Unter Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung anfordern.

Asymmetrisches Routing

Oracle verwendet asymmetrisches Routing über mehrere Tunnel, aus denen die IPSec-Verbindung besteht. Konfigurieren Sie Ihre Firewalls entsprechend. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.

Wenn Sie mehrere Tunnel für Oracle Cloud Infrastructure verwenden, empfiehlt Oracle, dass Sie das Routing so konfigurieren, dass es den Traffic deterministisch über den bevorzugten Tunnel weiterleitet. Wenn Sie einen IPSec-Tunnel als primär und einen anderen als Backup verwenden möchten, konfigurieren Sie spezifischere Routen für den primären Tunnel (BGP) und weniger spezifische Routen (zusammenfassende oder Standardrouten) für den Backuptunnel (BGP/statisch). Wenn Sie dieselbe Route (z.B. eine Standardroute) über alle Tunnel anbieten, wird der Traffic vom VCN zum On-Premise-Netzwerk andernfalls an einen der verfügbaren Tunnel weitergeleitet. Das liegt daran, dass Oracle asymmetrisches Routing verwendet.

Spezifische Oracle-Routingempfehlungen zum Erzwingen des symmetrischen Routings finden Sie unter Routing für Site-to-Site-VPN.

Routenbasiertes oder policybasiertes Site-to-Site-VPN

Das IPSec-Protokoll verwendet Sicherheitszuordnungen (Security Associations, SAs), um zu bestimmen, wie Pakete verschlüsselt werden. Innerhalb jeder SA definieren Sie Verschlüsselungsdomains, um die Quell- und Ziel-IP-Adresse eines Pakets einem Eintrag in der SA-Datenbank zuzuordnen. Dadurch wird festgelegt, wie ein Paket verschlüsselt oder entschlüsselt werden soll.

Hinweis

Von anderen Anbietern oder in der Branchendokumentation werden in Bezug auf SAs oder Verschlüsselungsdomains möglicherweise die Begriffe Proxy-ID, Sicherheitsparameterindex (SPI) oder Trafficselektor verwendet.

Es gibt zwei allgemeine Methoden zur Implementierung von IPSec-Tunneln:

  • Routenbasierte Tunnel: Auch als Next-Hop-Tunnel bezeichnet. Eine Routentabellensuche wird anhand der Ziel-IP-Adresse eines Pakets durchgeführt. Wenn es sich bei der Egress-Schnittstelle dieser Route um einen IPSec-Tunnel handelt, wird das Paket verschlüsselt und an das andere Ende des Tunnels gesendet.
  • Policy-basierte Tunnel: Die Quell- und-Ziel-IP-Adressen sowie das Protokoll des Pakets werden mit einer Liste von Policy-Anweisungen abgeglichen. Wenn eine Übereinstimmung gefunden wird, wird das Paket basierend auf den Regeln in dieser Policy-Anweisung verschlüsselt.

Die Site-to-Site-VPN-Headends von Oracle verwenden routenbasierte Tunnel, können jedoch mit policybasierten Tunneln arbeiten, zu denen einige Hinweise in den folgenden Abschnitten aufgeführt sind.

Verschlüsselungsdomain für routenbasierte Tunnel

Wenn Ihr CPE routenbasierte Tunnel unterstützt, konfigurieren Sie den Tunnel mit dieser Methode. Es handelt sich dabei um die einfachste Konfiguration mit der umfassendsten Interoperabilität mit dem Oracle-VPN-Headend.

Routingbasierte IPSec verwendet eine Verschlüsselungsdomain mit den folgenden Werten:

  • Quell-IP-Adresse: Beliebig (0.0.0.0/0)
  • Ziel-IP-Adresse: Beliebig (0.0.0.0/0)
  • Protokoll: IPv4

Wenn Sie spezifischer sein müssen, können Sie eine einzelne Zusammenfassungsroute für Ihre Verschlüsselungsdomainwerte anstelle einer Standardroute verwenden.

Verschlüsselungsdomain für policy-basierte Tunnel

Wenn Sie policybasierte Tunnel verwenden, generiert jeder Policy-Eintrag (ein CIDR-Block auf einer Seite der IPsec-Verbindung), den Sie definieren, eine IPsec-Sicherheitsverknüpfung (SA) mit jedem berechtigten Eintrag am anderen Ende des Tunnels. Dieses Paar wird als Verschlüsselungsdomain bezeichnet.

In diesem Diagramm enthält die Oracle-DRG-Seite des IPsec-Tunnels Policy-Einträge für drei IPv4-CIDR-Blöcke und einen IPv6-CIDR-Block. Die On-Premise-CPE-Seite des Tunnels enthält Policy-Einträge für zwei IPv4-CIDR-Blöcke und zwei IPv6-CIDR-Blöcke. Jeder Eintrag generiert eine Verschlüsselungsdomain mit allen möglichen Einträgen am anderen Ende des Tunnels. Beide Seiten eines SA-Paars müssen dieselbe IP-Version verwenden. Das Ergebnis sind insgesamt acht Verschlüsselungsdomains.

Diagramm mit mehreren Verschlüsselungsdomains, das veranschaulicht, wie ihre Anzahl bestimmt wird
Wichtig

Wenn das CPE nur policybasierte Tunnel unterstützt, beachten Sie die folgenden Einschränkungen.

  • Site-to-Site-VPN unterstützt mehrere Verschlüsselungsdomains, weist aber einen oberen Grenzwert von 50 Verschlüsselungsdomains auf.
  • Wenn Sie in einer Situation wie im obigen Beispiel nur drei der sechs möglichen IPv4-Verschlüsselungsdomains auf CPE-Seite konfiguriert haben, würde der Link mit dem Status "Teilweise hochgefahren" aufgelistet werden, weil auf DRG-Seite immer alle möglichen Verschlüsselungsdomains erstellt werden.
  • Policybasiertes Routing stützt sich auf Site-to-Site-VPN v2. Weitere Informationen zu Site-to-Site-VPN v2 finden Sie unter Aktualisierter Site-to-Site-VPN-Service.
  • Je nachdem, wann der Tunnel erstellt wurde, können Sie einen vorhandenen Tunnel möglicherweise nicht bearbeiten, um policybasiertes Routing zu verwenden. Sie müssen den Tunnel möglicherweise durch einen neuen IPsec-Tunnel ersetzen.
  • Die CIDR-Blöcke, die auf der Oracle-DRG-Seite des Tunnels verwendet werden, dürfen sich nicht mit den CIDR-Blöcken überschneiden, die auf der On-Premise-CPE-Seite des Tunnels verwendet werden.
  • Eine Verschlüsselungsdomain muss sich immer zwischen zwei CIDR-Blöcken derselben IP-Version befinden.

Wenn sich das CPE hinter einem NAT-Gerät befindet

Im Allgemeinen muss die CPE-IKE-ID, die an Ihrem Ende der Verbindung konfiguriert wurde, mit der CPE-IKE-ID übereinstimmen, die von Oracle verwendet wird. Standardmäßig verwendet Oracle die öffentliche IP-Adresse des CPE, die Sie beim Erstellen des CPE-Objekts in der Oracle-Konsole angeben. Wenn Ihr CPE sich jedoch hinter einem NAT-Gerät befindet, kann es sich bei der an Ihrem Ende konfigurierten CPE-IKE-ID um die private IP-Adresse des CPE handeln, wie im folgenden Diagramm dargestellt.

Diese Abbildung zeigt das CPE hinter einem NAT-Gerät, die öffentlichen und privaten IP-Adressen sowie die CPE-IKE-ID.
Hinweis

Einige CPE-Plattformen lassen die Änderung der lokalen IKE-ID nicht zu. In diesem Fall müssen Sie die Remote-IKE-ID in der Oracle-Konsole so ändern, dass sie mit der lokalen IKE-ID Ihres CPE übereinstimmt. Sie können den Wert angeben, wenn Sie die IPSec-Verbindung einrichten oder später, indem Sie die IPSec-Verbindung bearbeiten. Oracle erwartet, dass der Wert eine IP-Adresse oder ein vollständig angegebener Domainname (FQDN) ist, wie cpe.example.com. Weitere Informationen finden Sie unter Von Oracle verwendete CPE-IKE-ID ändern.

Unterstützte IPSec-Parameter

Eine Liste der vom Hersteller unterstützten IPSec-Parameter für alle Regionen finden Sie unter Unterstützte IPSec-Parameter.

Die Oracle BGP-ASN für die kommerzielle Cloud-Realm ist 31898. Wenn Sie Site-to-Site-VPN für die US Government Cloud konfigurieren, finden Sie weitere Informationen unter Erforderliche Site-to-Site-VPN-Parameter für die Government Cloud und BGP-ASN von Oracle. Informationen zur United Kingdom Government Cloud finden Sie unter BGP-ASN von Oracle.

CPE-Konfiguration

Wichtig

Die Konfigurationsanweisungen in diesem Abschnitt werden von Oracle Cloud Infrastructure für Ihr CPE bereitgestellt. Wenn Sie Support oder weitere Unterstützung benötigen, wenden Sie sich direkt an den Support des CPE-Herstellers.

In der folgenden Abbildung wird das Basislayout der IPSec-Verbindung dargestellt.

Diese Abbildung fasst das allgemeine Layout der IPSec-Verbindung und -Tunnel zusammen.

Wichtige Details zu Konfigurationsanweisungen

  • Commits: Damit PAN die Konfiguration aktiviert, müssen Sie nach jeder Konfigurationsänderung die Commit-Aktion ausführen.
  • Beispiel-IP-Adressen: In der Beispielkonfiguration werden IP-Adressen aus Klasse A 10.0.0.0/8 (RFC1918) und 198.51.100.0/24 (RFC5735) verwendet. Verwenden Sie bei der CPE-Konfiguration den korrekten IP-Adressierungsplan für Ihre Netzwerktopologie.

In der Beispielkonfiguration werden die folgenden Variablen und Werte verwendet:

  • Innere Tunnel1-Schnittstelle - CPE: 198.51.100.1/30
  • Innere Tunnel2-Schnittstelle - CPE: 198.51.100.5/30
  • Innere Tunnel1-Schnittstelle - Oracle: 198.51.100.2/30
  • Innere Tunnel2-Schnittstelle - Oracle: 198.51.100.6/30
  • CPE-ASN: 64511
  • On-Premise-Netzwerk: 10.200.1.0/24
  • VCN-CIDR-Block: 10.200.0.0/24
  • Öffentliche IP-Adresse des CPE: 10.100.0.100/24
  • IP-Adresse 1 des Oracle-VPN-Headends (DRG): 10.150.128.1/32
  • IP-Adresse 2 des Oracle-VPN-Headends (DRG): 10.150.128.1/32
  • Tunnelnummer 1: tunnel.1
  • Tunnelnummer 2: tunnel.2
  • Ausgangsschnittstelle: ethernet1/1

IKEv2 verwenden

Oracle unterstützt Internet Key Exchange Version 1 (IKEv1) und Version 2 (IKEv2). Wenn Sie die IPSec-Verbindung in der Konsole für die Verwendung von IKEv2 konfigurieren, müssen Sie das CPE so konfigurieren, dass nur IKEv2 und zugehörige IKEv2-Verschlüsselungsparameter verwendet werden, die Ihr CPE unterstützt. Eine Liste der Parameter, die Oracle für IKEv1 oder IKEv2 unterstützt, finden Sie unter Unterstützte IPSec-Parameter.

Wenn Sie IKEv2 verwenden möchten, gibt es besondere Variationen einiger im nächsten Abschnitt angezeigten Schritte. Im Folgenden finden Sie eine Übersicht über die besonderen Schritte:

Konfigurationsprozess

Der folgende Prozess umfasst die BGP-Konfiguration für die IPSec-Verbindung. Wenn Sie stattdessen statisches Routing verwenden möchten, führen Sie die Aufgaben 1–5 aus, und fahren Sie dann mit der CPE-Konfiguration fort.

Aufgabe 1: ISAKMP Phase 1-Policy konfigurieren

In diesem Beispiel wird für beide Tunnel dieselbe ISAKMP-Policy verwendet.

  1. Gehen Sie zu Network, IKE Crypto, und klicken Sie auf Add.

  2. Konfigurieren Sie die Parameter (siehe Screenshot). Eine Liste der Werte finden Sie unter Unterstützte IPSec-Parameter. Wenn Sie Site-to-Site-VPN für die Government Cloud konfigurieren, finden Sie weitere Informationen unter Erforderliche Site-to-Site-VPN-Parameter für die Government Cloud.

    Diese Abbildung zeigt, wo die ISAKMP-Policy konfiguriert werden soll.

    Im nächsten Screenshot wird das Endergebnis für diese Aufgabe dargestellt:

    Diese Abbildung zeigt das Endergebnis nach dem Erstellen der ISAKMP-Policy.
Aufgabe 2: ISAKMP-Peers definieren
  1. Gehen Sie zu Network, IKE Gateways, und klicken Sie auf Add.

  2. Konfigurieren Sie für "Peer 1" die Parameter (siehe Screenshots).

    1. In der Registerkarte General:

      • Version: Wählen Sie für IKEv1 IKEv1 only mode aus. Wenn Sie IKEv2 verwenden möchten, wählen Sie IKEv2 only mode aus. Wenn Sie IKEv2 verwenden, können Sie später in Aufgabe 5 auch Proxy-IDs hinzufügen.
      • Interface: Schnittstelle, die Eigentümer der öffentlichen IP-Adresse im CPE ist. Ändern Sie ethernet1/1 in den für Ihre Netzwerktopologie richtigen Wert.
      • Peer IP Address: Öffentliche IP-Adresse, die dem Oracle-Headend des Tunnels von Oracle zugewiesen wurde. Ändern Sie den Wert in die korrekte IP-Adresse für den ersten Tunnel.
      • Pre-shared Key: Das Shared Secret, das von Oracle automatisch beim Erstellen des IPSec-Tunnels zugewiesen wurde. Gegebenenfalls können Sie einen anderen Wert angeben. Geben Sie hier und in der Oracle-Konsole denselben Wert ein.
      • Local Identification und Peer Identification: Die IKE-IDs. Bei der Local Identification handelt es sich um die öffentliche IP-Adresse des CPE. Die Remote Identification ist die IP-Adresse des Oracle-VPN-Headends für den ersten Tunnel.
      Diese Abbildung zeigt, wo die Parameter für den ersten Peer konfiguriert werden.

    2. Stellen Sie sicher, dass die Werte für den ersten Peer auf der Registerkarte Advanced Options gemäß dem folgenden Screenshot festgelegt sind.

      Diese Abbildung zeigt die erweiterten Optionen des IKE-Gateways für den ersten Peer.

      Wenn Sie stattdessen IKEv2 verwenden, wählen Sie das IKE-Crypto-Profil aus, das dem IKEv2-Tunnel zugeordnet ist.

      Diese Abbildung zeigt die Einstellung für das IKEv2-Verschlüsselungsprofil.

  3. Konfigurieren Sie für "Peer 2" die Parameter (siehe Screenshots).

    1. In der Registerkarte General:

      • Version: Wählen Sie für IKEv1 IKEv1 only mode aus. Wenn Sie IKEv2 verwenden möchten, wählen Sie IKEv2 only mode aus. Beachten Sie bei IKEv2, dass Sie in der Aufgabe 5 auch eine Proxy-ID angeben müssen.
      • Interface: Schnittstelle, die Eigentümer der öffentlichen IP-Adresse im CPE ist. Ändern Sie ethernet1/1 in den für Ihre Netzwerktopologie richtigen Wert.
      • Peer IP Address: Öffentliche IP-Adresse, die dem Oracle-Headend des Tunnels von Oracle zugewiesen wurde. Ändern Sie den Wert in die korrekte IP-Adresse für den zweiten Tunnel.
      • Pre-shared Key: Das Shared Secret, das von Oracle automatisch beim Erstellen des IPSec-Tunnels zugewiesen wurde. Gegebenenfalls können Sie einen anderen Wert angeben. Geben Sie hier und in der Oracle-Konsole denselben Wert ein.
      • Local Identification und Peer Identification: Die IKE-IDs. Bei der Local Identification handelt es sich um die öffentliche IP-Adresse des CPE. Die Remote Identification ist die IP-Adresse des Oracle-VPN-Headends für den zweiten Tunnel.
      In dieser Abbildung wird dargestellt, wo die Parameter für den zweiten Peer konfiguriert werden.

    2. Stellen Sie sicher, dass die Werte für den zweiten Peer auf der Registerkarte Advanced Options gemäß dem folgenden Screenshot festgelegt sind:

      Diese Abbildung zeigt die erweiterten Optionen des IKE-Gateways für den zweiten Peer.

      Wenn Sie stattdessen IKEv2 verwenden, wählen Sie das IKE-Crypto-Profil aus, das dem IKEv2-Tunnel zugeordnet ist.

      Diese Abbildung zeigt die Einstellung für das IKEv2-Verschlüsselungsprofil.

Im nächsten Screenshot wird das Endergebnis für diese Aufgabe dargestellt:

Diese Abbildung zeigt das endgültige Ergebnis nach dem Festlegen der ISAKMP-Peers.
Aufgabe 3: IPSec-Policy der Phase 2 definieren

In diesem Beispiel wird für beide Tunnel dasselbe IPSec-Crypto-Profil verwendet.

  1. Gehen Sie zu Network, IPSec Crypto, und klicken Sie auf Add.

  2. Konfigurieren Sie die Parameter (siehe Screenshot).

    Diese Abbildung zeigt, wo das IPSec-Crypto-Profil konfiguriert werden soll.

    Im nächsten Screenshot wird das Endergebnis für diese Aufgabe dargestellt:

    Diese Abbildung zeigt das abschließende Ergebnis nach dem Erstellen des IPSec-Crypto-Profils.
Aufgabe 4: Virtuelle Tunnelschnittstellen konfigurieren
  1. Gehen Sie zu Network, Interfaces, Tunnel, und klicken Sie auf Add.

  2. Konfigurieren Sie für "Peer 1" die Parameter (siehe Screenshots).

    1. Weisen Sie in der Registerkarte Config die Schnittstelle gemäß Ihrem virtuellen Router und der Konfiguration der Sicherheitszone zu. In diesem Beispiel werden der virtuelle Standardrouter und die ipsec_tunnel-Sicherheitszone verwendet.

      Diese Abbildung zeigt, wo die Tunnelschnittstellenparameter für den ersten Peer konfiguriert werden.

    2. Stellen Sie sicher, dass die Werte für den ersten Peer auf der Registerkarte IPv4 gemäß dem folgenden Screenshot festgelegt sind. In diesem Beispiel lautet die IP-Adresse für die Tunnelschnittstelle "ipsec_address_static1 = 198.51.100.1/30". Konfigurieren Sie Ihre Tunnel-IP-Adresse entsprechend dem Netzwerk-IP-Adressierungsplan.

      Diese Abbildung zeigt die IPv4-Parameter der Tunnelschnittstelle für den ersten Peer.

  3. Konfigurieren Sie für "Peer 2" die Parameter (siehe Screenshots).

    1. Weisen Sie in der Registerkarte Config die Schnittstelle gemäß Ihrem virtuellen Router und der Konfiguration der Sicherheitszone zu. In diesem Beispiel werden der virtuelle Standardrouter und die ipsec_tunnel-Sicherheitszone verwendet.

      Diese Abbildung zeigt, wo die Tunnelschnittstellenparameter für den zweiten Peer konfiguriert werden.

    2. Stellen Sie sicher, dass die Werte für den zweiten Peer auf der Registerkarte IPv4 gemäß dem folgenden Screenshot festgelegt sind. In diesem Beispiel lautet die IP-Adresse für die Tunnelschnittstelle "ipsec_address_static2 = 198.51.100.5/30". Konfigurieren Sie Ihre Tunnel-IP-Adresse entsprechend dem Netzwerk-IP-Adressierungsplan.

      Diese Abbildung zeigt die IPv4-Parameter der Tunnelschnittstelle für den zweiten Peer.

Im nächsten Screenshot wird das Endergebnis für diese Aufgabe dargestellt:

Diese Abbildung zeigt das Endergebnis nach dem Hinzufügen der Tunnelschnittstellen.
Aufgabe 5: IPSec-Sessions konfigurieren
  1. Gehen Sie zu Network, IPSec Tunnels, und klicken Sie auf Add.

  2. Konfigurieren Sie für Peer 1 die Parameter in der Registerkarte General (siehe Screenshot).

    Wenn Sie IKEv1 verwenden, müssen Sie der Registerkarte Proxy IDs keine spezifischen Proxy-IDs hinzufügen. Sie sind für eine routenbasierte IKEv1-VPN-Konfiguration nicht erforderlich.

    Bei IKEv2 fügen Sie jedoch Proxy-IDs der Registerkarte Proxy IDs hinzu, um die Interoperabilität zu verbessern. Stellen Sie sicher, dass Sie zuvor in Aufgabe 2 auch das IKE-Gateway zur Verwendung von IKEv2 konfiguriert haben.

    Diese Abbildung zeigt, wo die IPSec-Session für Peer 1 konfiguriert wird.

  3. Konfigurieren Sie für Peer 2 die Parameter in der Registerkarte General (siehe Screenshot).

    Wenn Sie IKEv2 verwenden, fügen Sie auch Proxy-IDs in der Registerkarte Proxy IDs hinzu.

    Diese Abbildung zeigt, wo die IPSec-Session für Peer 2 konfiguriert werden soll.
Aufgabe 6: BGP über IPSec konfigurieren
Hinweis:

Wenn Sie statisches Routing anstelle von BGP verwenden möchten, überspringen Sie Aufgabe 6, und fahren Sie mit Statisches Routing konfigurieren fort.

Für BGP über IPSec sind die IP-Adressen der Tunnelschnittstellen an beiden Enden erforderlich.

In den Beispielscreenshots werden die folgenden Subnetze für die Tunnelschnittstellen verwendet:

  • 198.51.100.0/30
    • CPE: 198.51.100.1/30
    • DRG: 198.51.100.2/30
  • 198.51.100.4/30
    • CPE: 198.51.100.5/30
    • DRG: 198.51.100.6/30

Ersetzen Sie die Beispielwerte durch die BGP-IP-Adressen, die Sie in der Oracle-Konsole für die inneren Tunnelschnittstellen angegeben haben.

Diese Aufgabe besteht aus drei Subaufgaben, die jeweils mehrere Schritte umfassen.

Subaufgabe 6-a: BGP-Parameter konfigurieren

  1. Gehen Sie zu Network, Virtual Routers, default und dann zu BGP. In diesem Beispiel wird der virtuelle Standardrouter verwendet. Außerdem werden im Beispiel 10.200.1.10 als Router-ID und 64511 als ASN verwendet. Verwenden Sie den richtigen virtuellen Router basierend auf Ihrer Netzwerkkonfiguration sowie die korrekte Router-ID und ASN für Ihre Umgebung.

    Diese Abbildung zeigt den Start der BGP-Konfiguration.

  2. Konfigurieren Sie in der Registerkarte Generaldie Parameter (siehe Screenshot).

    Diese Abbildung zeigt die Registerkarte "BGP - General".

  3. Konfigurieren Sie in der Registerkarte Advanced die Parameter (siehe Screenshot).

    Diese Abbildung zeigt die Registerkarte "BGP - Advanced".

  4. In der Registerkarte Peer Group:

    1. Fügen Sie die erste Peergroup und dann unter Peer Group Name die erste Session hinzu. Fügen Sie die BGP-Session mit dem DRG hinzu.
      Diese Abbildung zeigt die BGP-Peergroup.

    2. Konfigurieren Sie für den ersten Tunnel die Parameter in der Registerkarte Addressing (Adressierung), wie im nächsten Screenshot gezeigt. Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac), die 14544 lautet. Weitere Informationen zum Konfigurieren von Site-to-Site-VPN für die Government Cloud finden Sie unter BGP-ASN von Oracle.

      Diese Abbildung zeigt die Registerkarte "BGP - Peer - Addressing".

    3. Konfigurieren Sie in der Registerkarte Connection Options die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "BGP - Peer - Connection Options".

    4. Konfigurieren Sie in der Registerkarte Advanceddie Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "BGP - Peer - Advanced".

    5. Fügen Sie in der Registerkarte Peer Group die zweite Peergroup und unter Peer Group Name die zweite Session hinzu. Fügen Sie die BGP-Session mit dem DRG hinzu.

      Diese Abbildung zeigt die BGP-Peergroup.

    6. Konfigurieren Sie für den zweiten Tunnel in der Registerkarte Addressing die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "BGP - Peer - Addressing".

    7. Konfigurieren Sie in der Registerkarte Connection Options die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "BGP - Peer - Connection Options".

    8. Konfigurieren Sie in der Registerkarte Advanceddie Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "BGP - Peer - Advanced".

    Im nächsten Screenshot wird die endgültige Peergroup-Konfiguration dargestellt:

    Diese Abbildung zeigt die endgültige Peergroup-Konfiguration.

  5. Konfigurieren Sie auf der Registerkarte Import die Parameter (siehe Screenshot). Hier konfigurieren Sie "tunnel.1" als Primär- und "tunnel.2" als Backup für die VCN-Route, die vom DRG über BGP (10.200.0.0/24) empfangen wurde. Aus der BGP-Perspektive befinden sich beide Tunnel im Status "Eingerichtet".

    1. Konfigurieren Sie für die erste Regel in der Registerkarte General die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "Import Rule - General".

    2. Konfigurieren Sie in der Registerkarte Match die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "Import Rule - Match".

    3. Konfigurieren Sie in der Registerkarte Action die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "Import Rule - Action".

    4. Konfigurieren Sie für die zweite Regel in der Registerkarte General die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "Import Rule - General".

    5. Konfigurieren Sie in der Registerkarte Match die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "Import Rule - Match".

    6. Konfigurieren Sie in der Registerkarte Action die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "Import Rule - Action".

  6. Konfigurieren Sie auf der Registerkarte Export die Parameter (siehe Screenshots). Hier konfigurieren Sie eine Policy, um zu erzwingen, dass das DRG "tunnel.1" bevorzugt, um den Pfad an das CIDR des On-Premise-Netzwerks (10.200.1.0/24) zurückzugeben.

    1. Konfigurieren Sie in der Registerkarte Generaldie Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "Export - General".

    2. Konfigurieren Sie in der Registerkarte Match die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "Export - Match".

    3. Konfigurieren Sie in der Registerkarte Action die Parameter (siehe Screenshot).

      Diese Abbildung zeigt die Registerkarte "Export - Action".

    Der nächste Screenshot zeigt die endgültige Exportkonfiguration:

    Diese Abbildung zeigt die endgültige Exportkonfiguration.

    Beachten Sie, dass keine Konfiguration für die Registerkarten Conditional Adv oderAggregate erforderlich ist.

  7. Konfigurieren Sie in der Registerkarte Redist Rules die Parameter (siehe Screenshot). Hier können Sie das On-Premise-Netzwerk-CIDR im BGP angeben.

    Diese Abbildung zeigt die Registerkarte "Redistribute Rules".
Subaufgabe 6-b: Warten, bis die BGP-Sessions aufgebaut sind, und dann den BGP-Status prüfen

  1. Gehen Sie zu Network, IPSec Tunnels, Spalte Virtual Router, und klicken Sie dann auf Show Routes.

    Diese Abbildung zeigt, wo die Routen für den virtuellen Router angezeigt werden.

  2. Gehen Sie zu BGP und dann zur Registerkarte Peer, um zu prüfen, ob die BGP-Session aufgebaut wurde. Jeder andere Wert bedeutet, dass die BGP-Session nicht erfolgreich aufgebaut wurde, und kein Routenaustausch stattfindet.

    Diese Abbildung zeigt, wo der BGP-Sessionstatus angezeigt wird.

  3. Registerkarte Local RIB: Die Präfixe werden von DRG empfangen, wobei "tunnel.1" bevorzugt wird.

    Diese Abbildung zeigt die Registerkarte "BGP - Local RIB".

  4. Registerkarte RIB Out: Das On-Premise-Netzwerk-CIDR wird über BGP an DRG1 mit "as_path" von 64511 und für DRG2 mit "as_path" von 64511, 64511 gesendet. Auf diese Weise verwendet die vom DRG bevorzugte Route basierend auf dem BGP-Best-Path-Algorithmus die Verbindung über "tunnel.1", um das On-Premise-Netzwerk-CIDR zu erreichen.

    Diese Abbildung zeigt die Registerkarte "BGP - RIB Out".
Subaufgabe 6-c: Prüfen, ob die BGP-Routen in die Routentabelle eingefügt wurden

Um die Routen anzuzeigen, gehen Sie zu Routing und dann zur Registerkarte Route Table.

Diese Abbildung zeigt die Routen, die in die Routentabelle eingefügt wurden.

Statisches Routing konfigurieren

Folgen Sie diesen Anweisungen, wenn Ihr CPE BGP über IPSec nicht unterstützt, oder Sie BGP über IPSec nicht verwenden möchten.

In dieser Aufgabe konfigurieren Sie statische Routen, um den Traffic durch die Tunnelschnittstellen zum DRG und schließlich zu den VCN-Hosts weiterzuleiten.

  1. Befolgen Sie die Aufgaben 1 bis 5 im vorherigen Abschnitt.
  2. Statische Routen konfigurieren:
    1. Gehen Sie zu Network, Virtual Routers, default, Static Routes, und klicken Sie auf Add.

    2. Konfigurieren Sie die Parameter für Route 1 (siehe Abbildung).

      Diese Abbildung zeigt die statischen Routeneinstellungen für Route 1.

    3. Konfigurieren Sie die Parameter für Route 2 (siehe Abbildung).

      Diese Abbildung zeigt die statischen Routeneinstellungen für Route 2.

  3. (Empfohlen) Aktivieren Sie ECMP für den Traffic, der durch die beiden Tunnel geleitet wird. Die Metrik für beide Routen wird auf 10 gesetzt. Einige wichtige Hinweise zur Aktivierung von ECMP:

    • Prüfen Sie zunächst, ob Ihr Netzwerkdesign ECMP zulässt.
    • Wenn ECMP auf einem vorhandenen virtuellen Router aktiviert oder deaktiviert wird, startet das System den virtuellen Router neu. Der Neustart kann dazu führen, dass bestehende Sessions beendet werden.

    • In diesem Beispiel wird der virtuelle Standardrouter verwendet. Verwenden Sie den korrekten virtuellen Router für Ihre Netzwerkumgebung.

    Um ECMP zu aktivieren, gehen Sie zu Network, Virtual Routers, Standard, Router Settings, ECMP, Enable (Routereinstellungen)

    Diese Abbildung zeigt die ECMP-Einstellungen.

Auf den folgenden Screenshots wird die endgültige Konfiguration angezeigt, nachdem diese Aufgabe abgeschlossen wurde:

Diese Abbildung zeigt die endgültige Konfiguration in der Registerkarte "IPv4" nach der Konfiguration statischer Routen.
Diese Abbildung zeigt die endgültige Konfiguration nach der Konfiguration statischer Routen.

IKE-ID ändern

Wenn das CPE sich hinter einem NAT-Gerät mit einer privaten IP-Adresse an der Ausgangsschnittstelle befindet, die von den Tunnelschnittstellen als Quelle verwendet wird, müssen Sie die öffentliche IP-Adresse des NAT-Geräts als lokale IKE-ID angeben. Legen Sie dazu den Wert für Local Identification in der IKE Gateway-Konfiguration fest:

Diese Abbildung zeigt, wo die IKE-ID des CPE geändert wird.

Verifizierung

So prüfen Sie den IPSec-Tunnelstatus:

Diese Abbildung zeigt, wo der IPSec-Tunnelstatus geprüft wird.

Mit diesem Befehl prüfen Sie die IKE-SA:

show vpn ike-sa

Mit diesem Befehl prüfen Sie die Konfiguration des IPSec-Tunnels:

show vpn tunnel name <tunnel_name>

Um den BGP-Status zu prüfen, suchen Sie nach "Established:

Diese Abbildung zeigt, wo der BGP-Status geprüft wird.

So prüfen Sie den BGP-Status über die Befehlszeile:

show routing protocol bgp peer peer-name <name>

So prüfen Sie, ob die Routen in der Routentabelle installiert sind:

show routing route

Ein Monitoring-Service ist auch in Oracle Cloud Infrastructure verfügbar, um Ihre Cloud-Ressourcen aktiv und passiv zu überwachen. Informationen zum Monitoring Ihres Site-to-Site-VPN finden Sie unter Site-to-Site-VPN-Metriken.

Bei Problemen finden Sie weitere Informationen unter Site-to-Site-VPN - Fehlerbehebung.